Scalping de masse : la pression monte sur les sites de vente en ligne

Les robots spécialistes du scalping sont devenus un fléau pour les internautes qui achètent des billets en ligne, que ce soit pour assister à un concert, à un spectacle ou à une compétition sportive.

Concrètement, les scalpeurs utilisent des robots programmés pour acheter au plus vite et avant tout le monde des biens ou services très demandés dans l’optique de les revendre bien plus chers. En juillet dernier, des scalpeurs ont pris la billetterie Ticketmaster pour cible à l’occasion de la prévente de la tournée de Taylor Swift. Rapidement, des fans de la chanteuse américaine ont signalé une saturation du site Web. Les billets étaient proposés jusqu’à 5 fois leur prix d'origine sur des sites de revente, et ce, seulement 15 minutes après l’ouverture des réservations… Cette attaque particulièrement médiatisée a démontré la sophistication et le poids des robots malveillants dans le paysage actuel des cybermenaces. Ces robots furent capables de contourner le mécanisme de protection mise en place par Ticketmaster. Baptisé « Verified Fan », il était pourtant spécialement conçu pour empêcher les robots et les revendeurs de s'emparer des billets.

Malheureusement, ce fiasco a fort probablement incité d'autres cyberattaquants à programmer et à déployer des robots malveillants, toujours plus sophistiqués.

Le scraping : prélude aux attaques de grande envergure

Le chaos lors de la tournée de Taylor Swift n'est que l’illustration d'une tendance croissante qui est causée par des acteurs malveillants utilisant des robots pour s’accaparer des produits limités. En 2020, suite à des attaques similaires, les gamers ont rencontré bien des difficultés pour acquérir la dernière console de jeux vidéo de Sony. Même le domaine de la santé publique n'est pas à l'abri. Durant la pandémie, des rendez-vous proposés dans le cadre de la campagne de vaccination contre le COVID-19 ont été revendus à des personnes désespérées. Alors qu’aucun secteur n'est à l'abri, comment les entreprises peuvent-elles se protéger mieux contre ces menaces ?

Il est essentiel de comprendre la manière dont les fraudeurs exécutent ces attaques de robots pour les prévenir et protéger son entreprise comme ses clients. La méthode du web scraping consiste à collecter automatiquement des données à partir d'un site web, d'une application mobile ou d'une API. Bien que le web scraping ne soit pas toujours malveillant, de nombreux cyberattaquants s'appuient sur des robots scrapeurs pour extraire des données qui peuvent être utilisées à des fins malicieuses, telles que le vol de contenu, le price scraping, qui consiste à collecter les données des produits vendus sur le site Internet d’un concurrent afin d’acquérir une connaissance stratégique de son périmètre concurrentiel ou d’attaques par déni de service DoS

Il existe une tendance récente selon laquelle le scraping est de plus en plus utilisé comme une menace passerelle qui mène à des attaques plus agressives et dommageables comme le scalping. Sur la base de cette observation, il est probable que lors du fiasco de la tournée Era, des robots aient utilisé le scraping pour surveiller la date de mise en vente des billets. Ils ont ensuite vendu les billets à l'aide d'un logiciel automatisé pour se positionner en tête de la file d'attente, ajouter les billets au panier et finaliser l'achat de manière automatisée. Cette nouvelle tendance à utiliser le scraping pour mener des attaques plus dommageables témoigne des méthodes de plus en plus sophistiquées utilisées par les fraudeurs. Ce type de menaces ne se limite pas au secteur de la billetterie. Les e-commerçants qui vendent des produits exclusifs ou de grande valeur constituent également une cible de choix pour les attaquants.

Comment détecter les scalpeurs en ligne ?

Les développeurs de robots sont extrêmement compétents et adoptent rapidement les technologies de pointe telles que l'IA et le Machine Learning (apprentissage automatique) pour améliorer l’efficacité de leurs attaques et s’adapter aux nouvelles protections. Cela explique qu’un système de contrôle similaire à « Verified Fans » ne puisse parvenir à stopper les robots scalpeurs.

Heureusement, de nombreuses solutions anti-scalping qui peuvent être déployées. L'empreinte de navigateur, par exemple, permet aux sites web de collecter des informations sur le type et la version du navigateur ou de l'appareil d'un utilisateur, ce qui peut les aider à identifier les robots. De fait, les scalpeurs utilisent des navigateurs automatisés dont les caractéristiques sont légèrement différentes de celles des navigateurs utilisés par de véritables internautes. Une fois qu'ils ont été détectés, ils peuvent être bloqués. Il est également possible de détecter les robots via l'analyse comportementale. La plupart des robots n'agissent pas comme des humains : ils parcourent un site web à toute allure et se dirigent directement vers le billet ou l'article visé. Les humains, en revanche, ont tendance à flâner, à déplacer leur curseur sur la page, et agissent généralement de manière plus lente et plus naturelle. Une fois ces schémas comportementaux détectés, d'autres méthodes de détection et de blocage des robots peuvent être déployées.

Lutter contre les robots sans frustrer les utilisateurs : un équilibre à maintenir

Sur les sites où les attaques de robots sont les plus susceptibles de se produire, le maintien d’une expérience utilisateur agréable est également un point crucial.

Dans le rapport de DataDome sur la fraude en ligne dans le secteur du e-commerce, seuls 47,46 % du trafic en ligne provenaient de véritables humains[FA1] . La dernière chose qu'une entreprise souhaite faire pour réduire ce chiffre est d’ajouter des points de friction lors du parcours client comme des chargements de pages lents et des CAPTCHAs sans fin. Les CAPTCHAs courants visent à créer des défis suffisamment difficiles pour arrêter les robots, mais cette méthode décourage également les clients. Pour garantir aux utilisateurs une expérience d'achat transparente, les entreprises doivent minimiser la probabilité que des utilisateurs humains soient confrontés à un CAPTCHA. Pour ce faire, les CAPTCHA ne devraient jamais être la première ligne de défense, mais plutôt le dernier recours. Les entreprises devraient plutôt déployer des systèmes de lutte contre les robots capables d'agréger des signaux de détection globaux et de s'adapter en temps réel aux nouvelles menaces. En fin de compte, les robots sont plus sophistiqués que jamais et la tendance n’est pas prête de s’inverser. Les sites de vente en ligne doivent faire évoluer leurs stratégies de cybersécurité au même rythme que la sophistication des robots. C’est la condition sine qua none pour freiner les menaces liées aux scalping.